Uma correspondência do MD5 entre um arquivo torrent e um arquivo original de um provedor significa que o arquivo torrent é seguro?

3

Eu queria baixar uma certa distro do Linux. No entanto, é apenas usando bittorent para download. Eu não estou interessado em bittorent. Se eu usá-lo, no entanto, se o download do MD5 corresponder ao MD5 do site da distrubition, isso significa que o arquivo não foi adulterado? Que corresponde exatamente o que o provedor tem e, supondo que o original seja "seguro", o arquivo baixado do torrent também é?

    
por johnny 20.06.2014 / 18:27

3 respostas

6

if the MD5 I download matches the MD5 of the distrubition's website, does that mean the file has not been tampered with?

Provavelmente não foi adulterado. O MD5 tem ataques conhecidos, então não é tão bom quanto algo como SHA-1. Para algo como verificar se você tem o arquivo correto, o MD5 está ok.

Onde o MD5 não está correto é se você usar como hashes de senha armazenados. Sites e tal geralmente não querem armazenar sua senha, mas um hash dela - e então comparar a senha que você digita para entrar com um hash. Desta forma, eles não sabem sua senha. No entanto, se um hacker obtiver uma lista de contas com esses hashes, ele poderá gerar uma senha que, quando colocada no MD5, gerará o mesmo hash (isso é chamado de colisão de hash). Eu não tenho certeza de como tudo isso funciona, realmente, apenas que com colisões hash MD5 são possíveis e mais fáceis do que foram no passado.

O Bittorrent usa o SHA-1 para "saber" qual arquivo está sendo baixado e se as peças que os parceiros comercializam são boas ou não. Para que um par malicioso possa injetar dados ruins no enxame é improvável - mesmo que um par soubesse como quebrar o SHA-1, a maioria dos outros colegas também teria que cooperar. Você pode estar relativamente confiante de que ninguém no Bittorrent Swarm pode corromper o download, supondo que você tenha o arquivo .torrent correto e que ele não tenha sido modificado maliciosamente para apontar para um rastreador diferente ou os hashes nele modificados.

    
por 20.06.2014 / 18:46
2

Sim, é provável que esteja bem.

Eu uso muito o md5 no meu trabalho diário no sysadmin, então eu fiz muita pesquisa sobre questões de segurança. Encontrou alguns links excelentes e também resumiu as preocupações de segurança e os usos de hashes em um post no blog

A essência: três coisas principais a considerar:

1) É possível que dois arquivos diferentes tenham o mesmo hash. Em suas descobertas, ambos os arquivos precisam ser criados pelo invasor, ou seja, o criador dos arquivos.

2) O hash também não pode ser segmentado. Você não pode encontrar um hash e projetar um arquivo para combinar com esse hash. Em vez disso, o criador tem que criar dois arquivos diferentes de hashes idênticos, e os próprios valores de hash não podem ser "escolhidos" antes do tempo

Por último, há um número finito de hashes, e por pura sorte é possível que dois arquivos aleatórios tenham o mesmo hash (chamado de "colisão"). Um dos pontos strongs de um bom algoritmo de hashing é evitar colisões.

Tendo em conta o acima: Então, se você usar o hash do fornecedor, você sabe que é o hash real que você pode verificar com uma alta porcentagem de confiança

Aqui estão algumas referências para você:

Um artigo fantástico sobre a segurança do hashing está bem aqui: link

Artigo muito detalhado sobre vulnerabilidade de segurança de hashing (e até mostra um exemplo de criação de dois arquivos diferentes com hashes idênticos) link

Minha própria coleção de informações sobre segurança e uso de hash link

    
por 20.06.2014 / 20:12
0

É provável que esteja bem. O MD5 não é o algoritmo mais seguro agora - muito melhor do que um CRC, mas mais fraco que o SHA1, o Ripemd e o SHA256 - mas encontrar colisões hash no MD5 é bastante exigente, algo que apenas uma grande organização terá para um ataque específico e é diferente acontecer em uma torrente aleatória sem um bom propósito.

    
por 12.07.2014 / 15:10